What is HIPAA Compliance?

O Lei de Portabilidade e Acessibilidade de Seguro Saúde (HIPAA) é um regulamento desenvolvido para proteger as informações de saúde dos pacientes nos EUA. Certas organizações que têm acesso a informações de saúde protegidas (PHI) são obrigadas a implementar os controles, processos e procedimentos de segurança descritos no regulamento HIPAA.

Compliance Datasheet Solicite uma demo

What is HIPAA Compliance?

Quem precisa estar em conformidade com a HIPAA e por quê?

A HIPAA define dois tipos de organizações que são obrigadas a cumprir seus requisitos:

  • Entidades Abrangidas: A HIPAA define “entidades cobertas” como organizações de saúde e seus funcionários que têm acesso a PHI. Isso inclui médicos, enfermeiros e seguradoras.
  • Associados de negócios: De acordo com a HIPAA, “parceiros comerciais” são organizações que prestam serviços a entidades cobertas que envolvem acesso a PHI. Por exemplo, uma organização que lida com a cobrança de um prestador de cuidados de saúde tem acesso ao nome, endereço, etc. dos pacientes, que são protegidos como PHI pela HIPAA.

 

De acordo com a HIPAA, tanto as entidades cobertas quanto os associados comerciais devem cumprir a HIPAA. As entidades cobertas são diretamente regulamentadas pelo Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos (HHS). Os requisitos da HIPAA são aplicados aos associados comerciais por meio de seus contratos com entidades cobertas.

 

No entanto, o regulamento só se aplica a organizações que se enquadrem na definição de entidades abrangidas ou parceiros comerciais nos termos da lei. Outras organizações que têm acesso a informações de saúde, mas não as recebem de entidades cobertas, não estão sujeitas aos regulamentos da HIPAA. Por exemplo, os desenvolvedores de aplicações de saúde e fitness que recolhem informações de saúde diretamente dos utilizadores, mas que não são uma organização de saúde, não são obrigados a cumprir as suas diretivas.

 

No entanto, essas organizações poderiam se beneficiar com isso. A HIPAA descreve as melhores práticas para proteger PHI e o cumprimento dessas melhores práticas pode reduzir a exposição de uma organização a ameaças cibernéticas e a probabilidade e o impacto de uma potencial violação de dados. Além disso, no caso de uma violação ou incidente de segurança, o cumprimento da regulamentação ajuda a demonstrar que a empresa realizou a devida diligência e fez um bom esforço para proteger os dados dos seus clientes.

Quais são as regras da HIPAA?

A HIPAA é dividida em duas regras principais: a Regra de Privacidade e a Regra de Segurança. Além dessas regras, há a Regra de Notificação de Violação, que descreve como as organizações devem relatar uma violação de PHI, e a Regra Omnibus, que estendeu os requisitos da HIPAA para incluir também parceiros de negócios.

Regra de privacidade. As Normas para Privacidade de Informações de Saúde Individualmente Identificáveis (Regra de Privacidade) determinam como as organizações de saúde devem proteger certos tipos de informações de saúde que lhes são confiadas. A Regra de Privacidade define casos em que as PHI podem ser acessadas e divulgadas. Também define salvaguardas que as entidades cobertas devem ter em vigor para proteger as PHI e dá aos pacientes certos direitos relativamente às suas PHI.

 

Regra de segurança. Os Padrões de Segurança para a Proteção de Informações de Saúde Protegidas Eletronicamente (Regra de Segurança) descrevem os controles de segurança de TI que as empresas devem implementar para informações de saúde protegidas (PHI) armazenadas ou transferidas eletronicamente. Ele fornece controles, processos e procedimentos concretos de segurança de TI que as organizações devem implementar para cumprir os requisitos de proteção de dados descritos na Regra de Privacidade.

Os dados protegidos pela HIPAA

A HIPAA foi projetada para proteger PHI fornecidas por pacientes a entidades cobertas e seus parceiros comerciais. O HHS define dezoito tipos de identificadores PHI, incluindo:

  1. Nome
  2. Endereço
  3. Datas importantes 
  4. Número da Segurança Social
  5. Número de telefone
  6. Endereço de email
  7. Número de fax
  8. Número do beneficiário do plano de saúde
  9. Número do prontuário médico
  10. Número do certificado/licença
  11. Número de conta
  12. Identificadores de veículos, números de série ou números de placas
  13. identificadores de dispositivos ou números de série
  14. endereço de IP
  15. URL da Web
  16. Fotos de rosto inteiro
  17. Identificadores biométricos, como impressões digitais ou impressões de voz
  18. Quaisquer outros números, características ou códigos de identificação exclusivos

Violações comuns da HIPAA

A Conformidade HIPAA é obrigatória para entidades cobertas, e essas organizações podem ser penalizadas pela não Conformidade. A HIPAA define quatro níveis de violações:

  • Camada 1: A entidade coberta não tinha conhecimento da violação, e a violação não poderia realisticamente ter sido evitada se a entidade coberta fizesse um esforço de boa fé para cumprir a HIPAA. As penalidades variam de US$ 100 a US$ 50 mil.
  • Camada 2: A entidade coberta estava ciente da violação, mas ela não era evitável, dados os esforços de boa-fé para cumprir a HIPAA. As penalidades variam de US$ 1.000 a US$ 50.000.
  • Nível 3: A violação ocorreu devido à “negligência intencional” das regras da HIPAA que a entidade coberta tentou corrigir. As penalidades variam de US$ 10 mil a US$ 50 mil.
  • Nível 4: A violação ocorreu devido a “negligência intencional” que a entidade abrangida não fez qualquer tentativa de corrigir. As penalidades começam em US$ 50 mil.

A maioria das violações da HIPAA inclui a quebra de PHI, intencionalmente ou não. Algumas violações comuns da HIPAA incluem:

  • Dispositivo perdido ou roubado
  • ransomware e outros malware
  • Credenciais de usuário comprometidas
  • Compartilhamento acidental de dados via e-mail, mídia social, etc.
  • Arrombamento de escritório físico
  • Violação de registros eletrônicos de saúde (EHR)

Lista de verificação de conformidade HIPAA

Alcançar a Conformidade HIPAA é um processo de várias etapas. Algumas etapas importantes a serem seguidas incluem:

  1. Determine suas obrigações de conformidade: Conforme mencionado anteriormente, a HIPAA aplica-se às entidades cobertas e – através delas – aos seus parceiros comerciais. De acordo com a HIPAA, as entidades cobertas são definidas como prestadores de cuidados de saúde, planos de saúde e câmaras de compensação de cuidados de saúde. Seus parceiros comerciais são qualquer organização com a qual compartilhem PHI. 
  2. Aprenda as regras da HIPAA: As Regras de Privacidade e Segurança da HIPAA definem as responsabilidades de uma entidade coberta ou de um associado comercial de acordo com a HIPAA. Compreender os controles, políticas e processos necessários é essencial para alcançar e manter a Conformidade. 
  3. Identificar o Escopo da Conformidade: O HHS define dezoito tipos de dados que se qualificam como PHI e devem ser protegidos pela HIPAA. Identificar onde esses tipos de dados são armazenados, processados e transmitidos no ambiente de TI de uma organização é essencial para determinar quais sistemas e pessoal estão sujeitos às determinações da HIPAA. 
  4. Perform a Gap Assessment: Uma organização pode ter alguns dos controles exigidos pela HIPAA em vigor, mas outros podem estar faltando. Uma avaliação de lacunas em relação aos requisitos da HIPAA é necessária para identificar onde a empresa fica aquém dos requisitos da Conformidade. 
  5. Implantar controles ausentes: Uma avaliação de lacunas pode identificar locais onde a organização atualmente não está em conformidade. Depois de identificar essas lacunas, desenvolva e implemente uma estratégia para colmatar as lacunas. 
  6. Crie a documentação necessária: A HIPAA exige que as entidades cobertas tenham determinadas políticas e processos documentados. Se algum processo estiver faltando ou não documentado, gere os documentos necessários. 
  7. Prepare-se para Auditorias de Conformidade: A aprovação em uma auditoria de Conformidade exige a capacidade de demonstrar a um auditor que os controles, processos e procedimentos de segurança de uma organização atendem aos requisitos do regulamento. Desenvolva um plano para passar pela auditoria e reúna todos os dados e relatórios necessários antes da auditoria.

Como a Check Point pode ajudar

O objetivo principal da HIPAA é proteger as PHI confiadas às entidades cobertas e aos seus associados comerciais. As Regras de Privacidade e Segurança da HIPAA determinam que as organizações controlem e monitorem o acesso às PHI e as protejam contra acesso não autorizado.

A Check Point oferece uma variedade de soluções que ajudam prestadores de cuidados de saúde e outras organizações para alcançar a Conformidade com HIPAA e outras regulamentações. Check Point CloudGuard executa Monitoramento de conformidade, coleta de dados e geração de relatórios para ambientes baseados em nuvem. Para saber mais sobre como alcançar a Conformidade da nuvem com o CloudGuard, você está convidado a inscreva-se para uma demogratuita.

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK